Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Merkwürdiger Trojaner

Frage Sicherheit Viren und Trojaner

Mitglied: 60734

60734 (Level 1)

03.03.2008, aktualisiert 05.03.2008, 7907 Aufrufe, 14 Kommentare

Hallo Leute!
Ich kenn mich mit PC's zwar einigermaßen gut aus, doch zur ZEit läuft an einem PC von einem Freund was ziemlich merkwürdiges ab.
Der hat gesagt, dass er über e-Mail von einem anderen Bekannten einen Anhang geöffnet hat.
Daraufhin hat sich der Internet-Explorer geöffnet und da stand, dass ein Fehler aufgetreten ist.
Und seitdem ist sehr viel merkwürdig.
Wenn er bei sich in den Taskmanager schaut, ist da dauernt! cmd.exe, ping.exe, ftp.exe, b2e.exe, und xcopy.exe geöffnet, obwohl er die Eingabeaufforderung gar net nutzt.
Außerdem startet sich manchmal ein Programm, wo man unten rechts ein manchmal helles V und manchmal ein eingedunkeltes V sieht.
Was kann da los sein?
Bitte um schnelle Hilfe.
Norton AntiVirus hat kein Virus gefunden.
Mitglied: Smiley
03.03.2008 um 19:00 Uhr
Hi,

boote mal mit irgendeiner Live-CD und scann damit nach Viren. Es kann ja sein das der Trojaner o.ä. das Virenprogramm überlistet/deaktiviert/für dumm verkauft, oder einfach das Norton AV (welches ja nicht grade das Beste ist) den Trojaner o.ä. nicht kennt.
(Also nimm keine evtl. vorhandene Norton-Boot-CD!)

MfG
Bitte warten ..
Mitglied: datasearch
03.03.2008 um 19:01 Uhr
lol da hat jemand gespielt.

Das "V" ist VNC, damit kann der "bekannte" den Bildschirm des betroffenem anschauen. cmd.exe wurde sicher von einem anderem Tool gestartet, das wiederum entweder einen Tunnel irgendwohin aufbaut usw usw.

Auf jeden Fall den betroffenen PC nur noch offline betreiben und genau analysieren wo was startet. Irgendwo muss dieses "script" die Programme ja eingetragen haben. Die Sicherste Methode für dich währe Neuinstallation.

Ich würde, wenn auf dem PC keine "kritischen" Daten vorhanden sind, eine Anzeige wegen Datenmanipulation und diesem tollem neuem Paragraph wegen ausspähen von Daten gegen den absender der EMail stellen und den PC als Beweismittel sichern.

Hast du zufällig diesen Anhang? ich würde mir das "ding" mal anschauen, dann kann ich mehr dazu sagen wie aufwendig es wird den zu entfernen.
Bitte warten ..
Mitglied: 60734
03.03.2008 um 19:13 Uhr
Mhh ka... Aber der hat die Mail wieder gelöscht.
Aber es ist halt schon komisch, weil manchmal wird unten rechts bei ihm halt auch angezeigt:
"Datenverlust beim schreiben ... Die Datei "\\ajshdla.no-ip.org\xy\Domi\log.txt" konnte nicht geschrieben werden.
Bitte speichern Sie die Datei woanders ab"
Bitte warten ..
Mitglied: 60734
03.03.2008 um 19:15 Uhr
ABer nochmal zu der Live-CD.
Wo kann man die her bekommen, diese Norton-CD?
Bitte warten ..
Mitglied: datasearch
03.03.2008 um 19:44 Uhr
Das schlechte an der Situation ist, das er warscheinlich windows-Bordmittel nutzt um eine FTP oder sonst eine Verbindung zu diesem DynDNS Server aufzubauen. Da das keine Viren sind, wirst du nichts finden. Leider. Dieses ajshdla.no-ip.org wurde bereits gelöscht, also gehe ich davon aus das dieser Mensch das Ziel abgeschaltet und den noip Account gelöscht hat. Vieleicht hat er ja mitbekommen was los ist.
Leider kann ich ohne weitere Informationen wie das Installiert wurde nicht genau sagen wie du das wieder bereinigen kannst.
Bitte warten ..
Mitglied: 60734
03.03.2008 um 19:54 Uhr
Nee, oder?
Aber des ist halt schon scheiße, wenn der den PC steuern kann...
Ich sag ihm, dass er das mal weiterhin beobachten soll.
Aber trotzdem thx soweit
Bitte warten ..
Mitglied: pulse
03.03.2008 um 20:36 Uhr
Ich würde noch empfehlen ein paar onlinescanner drüber zu jagen z.b. von Nod32 oder kaspersky
Und...Norton? Weg mit dieser gelben Pest und was ordentliches draufsetzen
Bitte warten ..
Mitglied: LordGurke
03.03.2008 um 21:01 Uhr
Meine Empfehlung wäre:
Festplatte ausbauen und in einem anderen Rechner scannen lassen, am Besten wirklich mit Kaspersky. In der C*mputerBild gab es mal vor einiger Zeit eine Gratis-Vollversion davon, vielleicht hast du die ja selber oder irgendwen in der Verwandtschaft, der noch eine Lizenz übrig hat (es gab immer direkt eine für 3 Arbeitsplätze).
Und wenn damit das System auch nicht sauberzukriegen ist, müssen halt die wichtigen Daten gesichert, die Festplatte komplett formatiert und Windows neu aufgesetzt werden.

Btw: Sitzt du hinter einem Router? Würde mich sehr wundern, wenn ohne irgendein Zutun einfach die zur Fernsteuerung geöffneten Ports im Router geforwardet werden.

Zu Norton stimme ich Endzeit zu:
Wer Norton hat braucht keine Viren mehr, ich habe schon viele virenbefallene Systeme gesehen und auf fast allen war die T-Offline-Version von Norton installiert. Will nichts heißen, aber....
Bitte warten ..
Mitglied: datasearch
04.03.2008 um 00:31 Uhr
@Maxi
Öhm, kleiner Denkfehler. Er hat sich das teil durch eine EMail von kumpel xy oder sonstwem eingefangen. Ich gehe davon aus das es ein Script war das vom lokalem PC aus irgend einen installer für VNC und einen Tunnel (zb. plink.exe) eingefangen und installiert hat. Virenscanner finden so etwas definitiv nicht. Die tatsache das das VNC logo in der Systray erscheint, deutet auf einen noob oder ein kiddi in dieser Szene hin der "mal schauen" wolle, was der kumpel so treibt. Die Verbindung wird also von innen nach außen aufgebaut was durch so gut wie jede Firewall geht. Das VNC Tunneling erfolgt also über einen von innen aufgebauten Tunnel ODER der PC hängt tatsächlich direkt am Netz (womit es auch erklären würde warum der Typ versucht auf seinen noip-homeserver die IP des Rechners abzulegen)

Das mit der Formatierung sehe ich auch als einzige Möglichkeit das System wieder in einen definierten Zustand zu bekommen (wenn das erforderliche Hintergrundwissen für eine Reinigung fehlt).
Bitte warten ..
Mitglied: Gagarin
04.03.2008 um 08:45 Uhr
Das mit dem kiddi kann ich nur bestaetigen, allein der Umstand das man Im Taskmanager cmd.exe, ping.exe, ftp.exe, b2e.exe, und xcopy.exe sehen kann und nicht, zb in svhost verstecket sind spricht dafuer.

Deswegen halte ich auch eine Strafanzeige fuer ueberdimensioniert.

Wichtig ist das der Rechner komplett geloescht wird und reinstalliert wird. Ausserdem sollten vorher, und zwar von einem anderen System, alle im Internet verwendeten Passwoerter geaendert werden.
Bitte warten ..
Mitglied: 60734
04.03.2008 um 18:03 Uhr
Ich habe jetzt nochmal Kaspersky Security probiert von der ComputerBild.
Aber auch kein Fund.
Das find ich jetzt total assi, dass wir den neu aufsetzen müssen.
Vielleicht weiss ja jemand anderes, wie man diesen "Trojaner" vlt. aufdecken könnte und doch löschen könnte.
Weil es befinden sich sehr viele sensible Daten auf dem PC und außerdem sehr viel lizenzierte und bezahlte Software.
Bitte warten ..
Mitglied: pulse
04.03.2008 um 19:13 Uhr
Die Lizenzen hat man doch, und dann wirds halt alles nochmal installiert
und nu?
Die Daten sichert man.
Sobald man son ding drauf hat und besonders wenn er tückisch ist,
ist eine komplette neuinstallation mit kompletter formatierung absolut empfehlenswert.
und wenn die daten wirklich sensibel sind und es sich um einen trojaner handelt...
dann wünsche ich viel spaß, falls du das system nicht neu aufsetzt^^
Bitte warten ..
Mitglied: 60734
04.03.2008 um 19:39 Uhr
Ok!
Dann werd' ich mich mal dran machen.
Vielen Dank für die vielen Posts!
Bitte warten ..
Mitglied: gnarff
05.03.2008 um 20:51 Uhr
Den Rechner vom Netz nehmen und den VNC-Client entfernen, falls die bind 2 exe Library [b2e.exe] nicht benötigt wird, ebenfalls löschen. RPCalls verbieten.

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Mischa Trojaner. Was nun
Frage von EdaseinsViren und Trojaner5 Kommentare

Hi Leute, und nun bin ich verzweifelt. Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk ...

Microsoft
Sehr merkwürdiger Tastaturfehler
Frage von HoonerBackstonMicrosoft4 Kommentare

Hallo, ich habe seit einiger Zeit einen (aus meiner Sicht) reichlich wirren Fehler, der mir Kopfzerbrechen bereitet. Bisher konnte ...

Windows Server
Merkwürdige DHCP Konfiguration in der Domäne
gelöst Frage von StephanSWindows Server27 Kommentare

Wir haben eine einfache Domänenstruktur mit nur einem DC. Der DC ist ein Windows Server 2008 Standard. Auf ihm ...

Verschlüsselung & Zertifikate
Merkwürdiger Zertifikatsfehler bei SBS 2011
Frage von Ruediger010Verschlüsselung & Zertifikate14 Kommentare

Guten Abend allerseits, bei einem Kunden ist ein Exchange Zertifikat beim SBS 2011 ausgelaufen und wurde über den Assistenten ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 6 StundenBatch & Shell7 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 8 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...